Существует большое количество сканеров уязвимостей и услуг или инструментов тестирования на проникновение, и многие организации пользуются как минимум одним из них для измерения уровня безопасности своих систем. У каждого инструмента есть свои достоинства и недостатки, и большинство из них довольно хорошо справляются с своей задачей.
В современных условиях многие организации активно используют сканеры уязвимостей и инструменты тестирования на проникновение, чтобы измерить уровень безопасности своих систем. Каждый из этих инструментов имеет свои преимущества и недостатки, но большинство из них достаточно эффективно справляются со своей задачей.
Вирусы, включая сетевых червей и троянские программы, могут демонстрировать реальное состояние сетевой безопасности, а анализ последствий заражения может предоставить полезные уроки для администраторов. Эта статья не призывает к намеренному заражению систем, но показывает, какие уроки можно извлечь из случайного инцидента. Согласно данным Symantec, 40% крупных интернет-компаний были заражены вирусами в течение шести месяцев. Изучение подобных случаев помогает улучшить как технические, так и нетехнические аспекты безопасности, включая настройки периметра защиты и оперативность реагирования.
Часто в подобных статьях основное внимание уделяется необходимости своевременного обновления систем. Однако важно также учитывать другие аспекты, которые могут быть выявлены при анализе последствий вирусного заражения.
Тестеры безопасности обычно используют методы, минимизирующие риск нарушения работы сети. Однако непреднамеренное заражение может выявить уязвимости, которые тесты, проводимые человеком, не всегда способны обнаружить. В отличие от инструментов тестирования на уязвимости, черви и вирусы нацелены на максимальное количество уязвимых систем, что позволяет получить уникальное понимание текущей ситуации в сети. После ликвидации заражения стоит проанализировать, какие уроки можно извлечь из происшествия.
Рассмотрим, какие данные можно получить из различных типов заражений.
Сетевые черви, такие как Sasser, нацелены на одну конкретную уязвимость. Если сканер безопасности показывает, что 98% систем обновлены, но 15% все равно заражены, это сигнал о проблеме. Возможно, сканер неправильно обработал отклики, или системы были переустановлены без необходимых обновлений. Кроме того, черви помогают выявить, как определенные сегменты сети реагируют на различные типы трафика, что может указывать на необходимость пересмотра правил сетевого фильтра или настроек брандмауэра.
Заражения через массовые рассылки предоставляют ценную информацию о структуре почтовой системы. Например, это может указать на необходимость усиления политики безопасности и запрета на передачу определенных файловых расширений. Также стоит обратить внимание на реакцию пользователей, чтобы оценить уровень их осведомленности о базовых принципах защиты от вирусов.
Паразитические вирусы инфицируют доверенные исполняемые файлы, что может свидетельствовать о недостаточности мер безопасности при загрузке и обмене файлами. В таких случаях важно рассмотреть возможность внедрения IDS-систем, таких как Tripwire, а также улучшить антивирусные настройки и обучение пользователей.
Черви, распространяющиеся через общедоступные документы, свидетельствуют о слабой внутренней безопасности сети. Это может указывать на наличие незащищенных компьютеров или каталогов с простыми паролями. Такие ситуации требуют пересмотра политик паролей и улучшения контроля доступа.
Заражения троянскими программами часто связаны с недостаточной защитой пользователей. Это может включать проблемы с посещением определенных сайтов или загрузкой вредоносных программ. В таких случаях важно анализировать настройки сетевых фильтров и антивирусного ПО, чтобы исключить возможность подобного заражения в будущем.
Каждое из упомянутых заражений выявляет как технические, так и нетехнические проблемы, требующие внимания. Применение технических решений к нетехническим проблемам может стать вызовом для администратора, поэтому важно понимать, что некоторые задачи требуют обучения пользователей и улучшения их осведомленности.
Например, заражение Sasser’ом может указать на необходимость введения строгих политик безопасности, чтобы предотвратить повторение инцидента. Заражения вирусами часто приводят к анализу затрат на улучшение безопасности, что помогает руководству принимать обоснованные решения о выделении дополнительных ресурсов.
Применение здравого смысла при устранении наиболее значительных угроз является ключевым элементом эффективной защиты сети. Например, изменение правил сетевого фильтра может быть более эффективным, чем установка новых систем безопасности на каждом компьютере. Важно понимать, что заражение может подтвердить или опровергнуть предположения администратора о сильных и слабых сторонах сети.
Если ваша сеть регулярно подвергается вирусным атакам, необходимо улучшить систему обнаружения. В больших организациях с тысячами клиентов важно иметь дополнительные линии защиты, такие как антивирусное ПО от второго производителя на входе в сеть и IDS-системы с возможностью обнаружения сетевых червей.
Специалисты отмечают, что IDS-системы могут значительно улучшить обнаружение вирусной активности. Эти системы позволяют быстро добавлять подписи известных вирусов и выявлять червей на ранних стадиях их распространения, что снижает риск значительных потерь.
Важно также регулярно информировать пользователей и администраторов о новых вирусах и методах заражения. Это можно делать через рассылки, доски объявлений или регулярные встречи, чтобы минимизировать риск дальнейших инцидентов.
Заражение вирусом предоставляет уникальную возможность для анализа состояния сетевой безопасности. Это также помогает убедить руководство в необходимости дополнительных инвестиций в защиту системы для предотвращения будущих атак.
Спойлер: мы раскрываем их любимые трюки